Estndares y Normas de Seguridad

Por qu normas/estndares de seguridad?

Las organizaciones necesitan (en ocasiones deben) demostrar que

realizan una gestin competente y efectiva de la seguridad de los
recursos y datos que gestionan.

Deben demostrar que identifican y detectan los riesgos a los que est sometida y
que adoptan medidas adecuadas y proporcionadas.

Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a

seguir.

Herramienta: SGSl (Sistema de Gestin de la Seguridad de la

lnformacin)

En ingls lSMS (lnformation Security Management System)

SGSl: proceso sistemtico, documentado y conocido por toda la

organizacin para garantizar que la seguridad de la informacin es
gestionada correctamente

FamiIia de Normas ISO/IEC 27000

Normas ISO 27000: Familia de estndares de lSO (lnternat/ona/

Organ/zat/on lor Standard/zat/on) e lEC (lnternat/ona/ F/ectrotechn/ca/
Comm/ss/on) que proporciona un marco para Ia gestin de Ia seguridad

Conjunto de normas que especifican los requisitos para establecer,

implantar, poner en funcionamieto, controlar, revisar, mantener y mejorar un
SGSl

Normas base: 2000l, 20002

Normas complementarias: 20003, 20004, 20005, ...

Seguridad de Ia informacin (segn lSO 2700l): preservacin de su confidencialidad, integridad y

disponibilidad, as como la de los sistemas implicados en su tratamiento

ConfidenciaIidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o

procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de

proceso.

DisponibiIidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma

por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

FamiIia de Normas ISO/IEC 27000

ISO/IEC 27000: define el vocabulario estndar empleado en la

familia 27000 (del/n/c/n de trm/nos v conceptos)

ISO/IEC 2700l: especifica los requisitos a cumplir para

implantar un SGSl certificable conforme a las normas 27000

Define cmo es el SGSl, cmo se gestiona y cales son las resposabilidades de los
participantes.

Sigue un modelo PDCA (Plan-Do-Check-Act)

Puntos clave: Gestin de riesgos + Mejora contnua

ISO/IEC 27002: cdigo de benas prct/cas para la gestin de la

seguridad

Recomendaciones sobre qu medidas tomar para asegurar los sistemas de informacin de una
organizacin

Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la

informacin) y especifica los controles recomendables a implantar (medidas a tomar)

Antes lSO l7799, basado en estndar BS 7799 (en Espaa norma UNE-lSO l7799)

FamiIia de Normas ISO/IEC 27000

ISO/IEC 27003:gua de implementacin de SGSl e informacin

acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los
requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicacin)

ISO/IEC 27004: especifica las mtricas y las tcnicas de medida

aplicables para determinar la eficacia de un SGSl y de los controles
relacionados (en desarrollo, pendiente de publicacin)

medicin de los componentes de la fase "Do" (lmplementar y Utilizar) del ciclo PDCA.

ISO/IEC 27005: gestin de riesgos de seguridad de la informacin

(recomendaciones, mtodos y tcnicas para evaluacin de riesgos
de seguridad)

ISO/IEC 27006: requisitos a cumplir por las organizaciones

encargadas de emitir certificaciones lSO/lEC 2700l

Requisitos para la acreditacin de las entidades de auditoria y certificacin

FamiIia de Normas ISO/IEC 27000

ISO/IEC 27007: gua de actuacin para auditar los SGSl conforme a las
normas 27000

ISO/IEC 270ll: gua de gestin de seguridad de la informacin

especfica para telecomunicaciones (en desarrollo)

elaborada conjuntamente con la lTU (Unin lnternacional de Telecomunicaciones)

ISO/IEC 2703l: gua de continuidad de negocio en lo relativo a

tecnologas de la informacin y comunicaciones (en desarrollo)

ISO/IEC 27032: gua relativa a la ciberseguridad (en desarrollo)

ISO/IEC 27032: gua de seguridad en aplicaciones (en desarrollo)

ISO/IEC 27799: gua para implantar lSO/lEC 27002 especfica para

entornos mdicos

ISO/IEC 2700l

Normo que especi[ico los requisitos para establecer, implantar, poner en

funcionamiento, controlar, revisar, mantener v mejorar un SGSI documentado Jenrro
Jel conrexro qlobol Je los riesqos Je neqocio Je lo orqonizocin. Lspeci[ico los requisiros
poro lo implonrocin Je los conrroles Je sequriJoJ leclos o meJiJo Je los necesiJoJes Je
orqonizociones inJiviJuoles o porres Je los mismos"

Objetivo: Mejora continua

Se adopta el modelo Plan-Do-Check-

Act (PDCA ciclo de Deming) para
todos los procesos de la organizacin.

ISO/IEC 2700l
Fase PIanificacin (PIan) [estabIecer eI SGSI]: Establecer la
poltica,objetivos, procesos y procedimientos relativos a la
gestin del riesgo y mejorar la seguridad de la informacin de la
organizacin para ofrecer resultados de acuerdo con las
polticas y objetivos generales de la organizacin.
Fase Ejecucin (Do) [impIementar y gestionar eI SGSI]:
lmplementar y gestionar el SGSl de acuerdo a su poltica,
controles, procesos y procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar eI SGSI]:
Medir y revisar las prestaciones de los procesos del SGSl.
Fase Mejora (Act) [mantener y mejorar eI SGSI]: Adoptar
acciones correctivas y preventivas basadas en auditoras y
revisiones internas en otra informacin relevante a fin de
alcanzar la mejora contnua del SGSl.


ISO/IEC 2700l
DO: ImpIantacin y puesta en marcha
deI SGSI

preparar un plan de tratamiento del riesgo

implantar los controles que se hayan seleccionado

medir la eficacia de dichos controles

crear programas de formacin y concienciacin

CHECK + ACT: ControI y evaIuacin
deI SGSI

implantar una serie de procedimientos para el control y la

revisin

puesta en marcha de una serie de revisiones regulares

sobre la eficacia del SGSl, a partir de los resultados de
las auditoras de seguridad y de las mediciones

tomar las medidas correctivas y preventivas

PLAN: EstabIecimiento
y gestin deI SGSI

definir el alcance del sistema

de gestin

definir la poltica del SGSl

definir la metodologa para la

valoracin del riesgo

identificar los riesgos

elaborar un anlisis y
evaluacin de dichos
riesgos

identificar los diferentes

tratamientos del riesgo

seleccionar los controles y

objetivos de los mismos que
posibilitarn dicho tratamiento

ISO/IEC 27002

Conjunto de recomendaciones sobre qu medidas tomar en la

empresa para asegurar los Sistemas de lnformacin.

Los objetivos de seguridad recogen aquellos aspectos

fundamentales que se deben analizar para conseguir un sistema
seguro en cada una de las reas que los agrupa. Para conseguir
cada uno de estos objetivos la norma propone una serie de medidas
o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestin del riesgo analizado.

Objetivo: Definir los aspectos prcticos/operativos de la

implantacin del SGSl

ISO/IEC 27002

Areas/secciones sobre las que actuar:

Objetivos de controI: aspectos a asegrar dentro de cada

rea/seccin

ControIes: mecan/smos para asegurar los distintos objetivos

de control (gua de buenas prcticas)

Para cada control se incluye una gua para su implantacin

Control de accesos

Desarrollo y mantenimiento de
sistemas

Gestin de incidentes de seguridad de

la informacin

Gestin de continuidad de negocio

Conformidad

Poltica de seguridad

Aspectos organizativos para la

seguridad

Clasificacin y control de activos

Seguridad ligada al personal

Seguridad fsica y del entorno

Gestin de comunicaciones y
operaciones

ISO/IEC 27002

LegisIacin

Leyes aplicables en relacin con la Seguridad en los

Sistemas de lnformacin

Ley Orgnica de Proteccin de Datos (LOPD)

+ normativas de proteccin de datos

Ley de Servicios para la Sociedad de la lnformacin y el

Comercio Electrnico (LSSI-CE)

Legislacin de Firma Electrnica (LFE)

Relacionadas:

Ley de Acceso de los Ciudadanos a los Servicios Pblicos

Ley de Medidas de lmpulso a la Sociedad de la lnformacin

Proteccin de Datos
Todas las organizaciones que tengan ficheros con datos personales
han de declararlos a la Agencia Espaola de Proteccin de Datos
(www.agpd.es)
Hay que implantar un documento de seguridad
Ficheros de datos personales clasificados en tres niveles:
Bsico: Ficheros con informacin personal
Medio: Ficheros con datos relativos a la comisin de infracciones administrativas,
Hacienda Pblica, Servicios financieros, as como los ficheros para la prestacin
de servicios de informacin sobre solvencia patrimonial y de crdito
AIto: Ficheros con datos sobre ideologa, religin, creencias, origen racial, salud o
vida sexual, as como los datos recabados para fines policiales sin consentimiento
del afectado
Hay que aplicar medidas de seguridad tcnicas y organizativas en
funcin del nivel y segn establece el reglamento
Auditoras bienales para ficheros de nivel medio y alto

Proteccin de Datos PersonaIes
Ley Orgnica l5/l999, de l3 de Diciembre de Proteccin de Datos
de Carcter Personal - LOPD
Real Decreto 994/l999 de ll de Junio por el que se aprueba el
RegIamento de Medidas de Seguridad de los ficheros
automatizados que contengan datos de carcter personal
Real Decreto l720/2007 de l9 de diciembre por el que se aprueba el
Nuevo RegIamento de Medidas de Seguridad de los ficheros
automatizados y fsicos que contengan datos de carcter personal

LSSI-CE

Ley 34/2002 de ll de Julio, de Servicios de la Sociedad

de la lnformacin y del Comercio Electrnico LSSl-CE (
www.lssi.es)

Establece los criterios de servicios en lnternet, cuando

sean parte de actividad econmica.

Validez y regulacin del comercio electrnico

LSSI-CE
Servicios por Internet
Mostrar en la web: Nombre, NlF, direccin, correo electrnico
Datos de inscripcin registral incluyendo nombre del dominio
Mostrar precios de los productos y servicios,
Contratacin y tramitacin on-line
Autenticacin mediante certificados y establecer canales seguros SSL
Sobre Ia pubIicidad por Internet
Prohibicin de los spam (email no solicitado)
Posibilidad de borrarse de las listas de correo informativo
Sobre Ios prestadores de servicios ISP, Hosting
Colaborar con los organos pblicos para resolucion de incidencias: almacenamiento de logs y eventos para rastreo
lnformar a los clientes sobre medidas de seguridad a aplicar
No son responsables de contenidos ilcitos si no los elaboran,
S son responsables si los conocen y no los retiran o no los comunican.
Sobre tituIares de pginas personaIes
Solo sujetas a la ley si tienen publicidad por la que perciban ingresos
ldentificar claramente la publicidad y la identidad: nombre, tfno, fax, eMail, NlF

LegisIacin Firma EIectrnica
Ley 59/2003 de l9 de Diciembre, de firma eIectrnica
Equipara la firma electrnica a la firma fsica, estableciendo su
validez legal
Regula a los Prestadores de Servicios de Certificacin (PSC
Autoridades de Certificacin)
Regula los certificados reconocidos
Regula los dispositivos seguros de creacin de firmas
lmplementa/adapta la directiva europea l999/93/EC (iniciativas
eEurope)
lntroduce el DNl electrnico (DNle)
RD l553/2005 de 23 Diciembre, regula la expedicin